《联邦数据保护法》的最新修订

欧盟委员会较早于1990年颁布了《资料保护指令草案》，经过数轮讨论与修改，1995年10月24日，欧洲议会和欧洲委员会通过了95／46／EC《关于个人数据处理中的个人保护和此类数据的自由流动的指令》。按照该指令，欧盟成员国应当在三年以内将指令中的相关要求转化为国内法。与该指令相比，德国1990年版的《联邦数据保护法》对私人领域信息收集、利用行为规制力度不够，且保护标准仍有待继续提高，因此，欧盟责令德国尽快修改国内法以满足欧盟《资料保护指令》的相关要求。按照欧盟的要求，德国立法机关着手对1990年《联邦数据保护法》进行修订，并于2003年1月1日通过了修改后的《联邦数据保护法》。相较于1990年《联邦数据保护法》，2003年《联邦数据保护法》的主要特点是扩大了个人信息保护法的适用范围，首次将非公有领域的、非商业性的信息行为纳入调整范围。适用范围的扩大还表现在加强规范力度方面，具体而言是指将禁止收集原则、直接收集原则、目的特定原则的适用范围从国家机关扩大到了非国家机关。《联邦数据保护法》的主要目的在于防止个人隐私权在个人数据处理中受到伤害，适用范围包括联邦公共机关，以及州公共机关，或者私人机构。

《联邦数据保护法》分为六编，第一编为普遍的和共同的规定，主要规定了该法的目的和适用范围，公共机关与私人机构的界定，数据收集、处理和使用许可的规则，个人数据向国外以及跨国或者国际机构的传输规则，数据保护官及其职责，损害赔偿等内容。第二编为公共机关的数据处理，主要规定了公共机关的数据收集规则，数据储存、修改和适用规则，向公共机关传输数据的条件，向私人机构传输数据的条件，联邦政府实施的数据保护，数据主体的权利，联邦数据保护专员制度等内容。第三编为私人机构和参与竞争的公法企业的数据处理，规定了数据处理的法律基础，数据主体的权利，监管机构等内容。第四编为特殊规定，主要包括对处于专业保密下或者官方特别保密下的个人数据的使用限制，研究机构对个人数据的处理和适用，媒体对个人数据的收集、处理和使用等内容。第五编为最后条款，规定了违反《联邦数据保护法》的行政责任与刑事责任。第六编为过渡性条款。2003年《联邦数据保护法》第7节、第8节就损害赔偿问题做出了明确的规定。按照2003年《联邦数据保护法》，如果数据控制人收集、处理、使用了该法或其他数据保护规定不允许或不当的个人数据而侵害了数据主体的利益，数据控制人或者其负责机构有义务赔偿该个人的损失。如果数据控制人尽到了法律规定的具体情形下应尽的注意义务，则可以免除损害赔偿义务。如果数据控制人通过不为该法或者其他数据保护规定所允许的或者不正确的数据自动收集、处理和使用而侵害了数据主体的利益，该数据主体控制人的责任机构无论其是否存在过错，均有义务赔偿数据主体的损失。在严重损害数据主体人格权的情况下，对数据主体的精神损害也应当给予适当的金钱赔偿。在自动化处理数据的情况下，如果数个机构同时储存被违法使用的个人数据，但是受害人无法确定实际储存人的，涉及被侵权个人信息处理的相关机构都应当承担法律责任这样的规定加强了数据储存机构对个人信息的安全保障义务。

在美国“9·11”恐怖袭击之后，德国以反恐为名扩大了国家机关收集或处理个人信息的权限，相关规定主要体现在《打击恐怖主义法》《打击恐怖主义补充法》与《电信监视法》等法律之中，上述法律与《联邦数据保护法》一道共同构成了德国个人信息保护法律体系。^[18]